Técnicas de ataques de ingeniería social
La mayoría de los ataques de ingeniería social siguen una o más de varias técnicas, como las siguientes:
Baiting
En el baiting, los ciberatacantes utilizan un objeto físico, como una unidad USB, para atraer a las personas y aumentar su curiosidad. A menudo, quieren saber qué contiene la unidad o suponen que se ha perdido y acaban intentando devolverla al propietario. Sin embargo, cuando la insertan en un dispositivo, se instala y ejecuta un malware que recopila información confidencial.
Phishing
El phishing puede ser el tipo de ataque de ingeniería social más habitual. Con el phishing, los ciberdelincuentes envían correos electrónicos falsos a usuarios que parecen legítimos, sugiriendo que el destinatario del correo electrónico actúe cuanto antes. Cuando se hace clic en el enlace del correo electrónico o se descarga el archivo adjunto, el malware se instala y ejecuta en los dispositivos.
El phishing se presenta en diferentes variedades, por ejemplo:
- Vishing: se utilizan llamadas telefónicas en lugar de correos electrónicos
- Smishing: se usan textos en lugar de correos electrónicos
- Spear phishing: se utilizan correos electrónicos falsos personalizados para dirigirse a la víctima
- Whaling: se envían correos electrónicos falsos dirigidos a una víctima específica, a menudo, un miembro del equipo directivo, que parecen proceder de alguien de la organización
Scareware
El scareware, también denominado ataque "quid pro quo", intenta engañar a las personas para que realicen una acción sugiriendo que, si la llevan a cabo, evitarán daños. Por ejemplo, un ataque de scareware puede sugerir que el equipo de un usuario está infectado con un virus y que, al hacer clic en un enlace, se eliminará la infección; pero, en realidad, se implementa el malware.
Pretexto
Tanto si se producen digitalmente como físicamente, los pretextos siguen el mismo patrón. Un pretexto se produce cuando un atacante malicioso investiga, crea una historia viable y, luego, se hace pasar por una persona que se ve como legítima.
Por ejemplo, los ciberdelincuentes pueden hacerse pasar por:
- Personal de TI
- Representantes de un servicio de atención al cliente
- Encuestadores
- Auditores
Farming/Hunting
Un ataque de ingeniería social muy estratégico y arriesgado es el farming o hunting, en el que un ciberdelincuente establece una relación con la víctima y la desarrolla a lo largo del tiempo. Aunque esto puede ser más arriesgado, porque la víctima puede darse cuenta de que el delincuente está actuando, también tiene un mayor beneficio, dado que se construye una base de confianza más sólida.